1 / 65

专题十四 配置路由和远程访问

专题十四 配置路由和远程访问. 软路由. 虚拟专用网( VPN ). 学习要点. NAT 与基本防火墙. 14.1 软路由. 路由器可分为硬件路由器和软件路由器。 Windows Server 2003 的 “ 路由和远程访问 ” 是全功能的软件路由器。运行 Windows Server 2003 家族成员以及提供 LAN 及 WAN 路由服务的 “ 路由和远程访问 ” 服务的计算机,称作运行 “ 路由和远程访问 ” 的服务器。. 软路由的设置. 要求: 安装多个网卡,每个网卡再配以不同的 IP 地址及子网掩码

ida
Download Presentation

专题十四 配置路由和远程访问

An Image/Link below is provided (as is) to download presentation Download Policy: Content on the Website is provided to you AS IS for your information and personal use and may not be sold / licensed / shared on other websites without getting consent from its author. Content is provided to you AS IS for your information and personal use only. Download presentation by click this link. While downloading, if for some reason you are not able to download a presentation, the publisher may have deleted the file from their server. During download, if you can't get a presentation, the file might be deleted by the publisher.

E N D

Presentation Transcript

  1. 专题十四 配置路由和远程访问 软路由 虚拟专用网(VPN) 学习要点 NAT与基本防火墙

  2. 14.1 软路由 • 路由器可分为硬件路由器和软件路由器。 • Windows Server 2003的“路由和远程访问”是全功能的软件路由器。运行Windows Server 2003家族成员以及提供LAN及WAN路由服务的“路由和远程访问”服务的计算机,称作运行“路由和远程访问”的服务器。

  3. 软路由的设置 • 要求: • 安装多个网卡,每个网卡再配以不同的IP地址及子网掩码 • 操作系统是Windows 2000以上版本,并启动路由和远程访问服务 • 特点: • 多宿主路由器还可以运行应用程序

  4. 多宿主计算机 网卡1 网卡2 子网 1 子网2 服务器 服务器 客户机 客户机 在Windows下实现软路由

  5. 基本概念 • 路由技术由两项基本活动组成: • 决定最优路径,即路径选择 • 传输信息单元,即数据交换 • 路由算法用来计算和确定到达目的地的最优路径 • 路由器内部有一个路由表,这个表标明了如何到达某个地方

  6. 路由表 1、路由表的作用: 路由器利用存储在路由表的数据来确定如何转发数据包。路由表数据包含路由器连接到的所有网络段的IP信息。 2、显示IP路由表 每一个运行TCP/IP的计算机都要进行由路由表控制的路由决策。路由表以计算机当前的TCP/IP配置为基础自动生成。

  7. 检查路由表(1) • 使用route print命令可以列出本机路由表 • C:\>route print • ======================================================== • Interface List • 0x1 ........................... MS TCP Loopback interface • 0x1000003 ...00 90 27 16 84 10 ...... Intel(R) PRO PCI Adapter • ======================================================== • Active Routes: • Network Destination Netmask Gateway Interface Metric • 0.0.0.0 0.0.0.0 192.168.1.200 192.168.1.201 1 • 127.0.0.0 255.0.0.0 127.0.0.1 127.0.0.1 1 • 192.168.0.0 255.255.248.0 192.168.1.201 192.168.1.201 1 • 192.168.1.201 255.255.255.255 127.0.0.1 127.0.0.1 1 • 192.168.1.255 255.255.255.255 192.168.1.201 192.168.1.201 1 • 224.0.0.0 224.0.0.0 192.168.1.201 192.168.1.201 1 • 255.255.255.255 255.255.255.255 192.168.1.201 192.168.1.201 1 • Default Gateway: 192.168.1.200 • ======================================================== • Persistent Routes: • None

  8. 检查路由表(2)

  9. 默认的路由表条目 • 0.0.0.0:默认路由,代表没有被指定其他路由的IP地址 • 127.0.0.0:本地回送地址 • 224.0.0.0:IP多点传送地址 • 255.255.255.255:IP广播地址

  10. 启用Windows Server 2003路由

  11. 添加静态路由(1) • 1. 利用“路由和远程访问”

  12. 添加静态路由(2) 2. 利用“route add”命令 • route add 192.168.23.0 mask 255.255.255.0 192.168.25.200 metric 5 if 0x10004 • route –p add 192.168.23.0 mask 255.255.255.0 192.168.25.200 metric 5 if 0x10004

  13. 手工维护路由表 • Route print • Route print 192* • Route add: • Route delete:

  14. 筛选进出路由器的数据包 • Windows Server 2003路由器支持数据包过滤的功能,它可以让我们设置过滤规则,以便决定哪一类的数据包可以通过路由器来传送,还可提高网络的安全性。 • 数据包过滤功能是防火墙(firewall)的基本功能之一 • 路由器的每一个网络接口都可以用于设置过滤数据包

  15. 路由接口 路由接口是一个物理接口或逻辑接口,通过他可以转发IP数据包。 路由接口有三种类型: 1、LAN接口: 代表一个局域网连接(如:以太网、令牌环网),该连接利用LAN技术。LAN接口表示一个已经安装好的网络适配器。LAN接口总是活动的,不需身份验证即可连接。 2、按需拨号接口: 代表一个点对点连接,基于物理连接或逻辑连接。要求经过身份验证过程后才进入连接状态。 3、IP中的IP隧道接口(IP in IP): 代表一种隧道式的点对点连接。不要求经过身份验证即可成为连接的

  16. 配置路由接口(设置筛选规则) 数据包筛选 IP数据包筛选——IP路由器提供允许或者不允许转发某些特定类型的IP数据流的能力。 在IP路由接口上配置筛选器 筛选器依据IP、TCP、UDP和ICMP报头中的关键字进行筛选。 1、选择接口 “IP路由选择”-“常规”-右击要添加筛选器的接口,单击“属性” 2、指定输入或输出筛选器 决定将筛选器应用到进入的数据包或者外出的数据包

  17. 配置路由接口 3、在IP路由接口上配置筛选器设置值 配置筛选器: (1)标识出源网络: IP地址:源IP网络ID或源IP地址 子网掩码:与源网络ID相对应的子网掩码;或者为源IP地址键入255.255.255.255。 (2)标识出目的网络: (3)选择协议

  18. 配置路由接口 4、指定筛选器动作 定义了一个筛选器后,选择筛选器动作: “接收所有除符合下面条件以外的数据包”: • 结果:接收除了指定的数据流以外的所有数据流。 • 用途:保护网络免受某些特定的威胁。 • 适用于:不需要高等级的安全时,使用这个设置值 “丢弃所有的包,满足下面条件的除外”: • 结果:丢弃除了指定的数据流以外的所有数据流 • 适用于:需要高等级的安全时,使用这个设置值。

  19. 通信协议号与连接端口号 • 在设置筛选器时,常用的TCP、UDP需要指定源端口号和目标端口号;ICMP需要指定类型和代码;其余的必须指定通信协议号。 • 通信协议号 • 常见服务的默认TCP、UDP端口号

  20. 动态路由 • 动态路由器可以自动更新路由表并把信息发送给它知道的其他动态路由器,减少了网络管理员的管理工作。 • Windows Server 2003支持RIP和OSPF路由算法协议。

  21. 动态路由协议 • RIP(Routing Internet Protocol):路由信息选择协议 • 距离向量路由协议,基于距离矢量算法的内部网关动态路由协议,通过判断数据包经过的跳数(路由器)来决定跨越最小的路由。 • 专用于中小型规模网络,动态维护路由表向其他的RIP路由器周期性地发表声明。 • 优点:配置和部署非常简单; • 缺点:最大跃点计数是15跳,需要较多的恢复时间。

  22. RIP2 RIP的改进版本 • 增加了一个认证域,防止黑客进行RIP攻击 • 路由项增加下一跳地址,可指定相邻路由器作为到特定目的的下一跳 • 支持多播

  23. OSPF(Open Shortest Path First)开放式最短路径优先 • 链路状态路由协议,设计用于大型到特大型网络中交换路由选择信息。 • 优点:高效率,要求很小的网络开销; • 缺点:复杂性,难于配置和管理。

  24. 利用RIP协议实现动态路由 • 在Windows计算机上添加RIP协议 • 路由和远程访问控制台常规新路由选择协议

  25. Router 2 路由表 B, D, A (RIP), C (RIP), E (RIP) Router 2 路由表 Router 2 B, D 子网B Router 1 子网D 子网B 子网A 子网C Router 1 路由表 Router 1 路由表 A, B, C, D (RIP), E (RIP) A, B, C, D (RIP) Router 1 Routing Table 子网C A, B, C Router 3 路由表 C, E, A (RIP), B (RIP), D (RIP) 子网E Router 3 路由表 C, E Router 3 RIP协议工作原理

  26. 为RIP添加、配置接口 1、在计算机上添加支持RIP的接口: “常规”-右击“RIP”-单击“新接口”-选中使用RIP的接口 2、配置RIP接口: “常规”选项卡 • 选择操作模式: • 自动静态更新模式: • 周期性更新模式: • 为RIP声明配置协议: • 配置RIP接口的费用:——路由中继段的个数 配置安全性:设置路由器接受和发出路由的范围 “邻居”选项卡:为非广播网络配置RIP

  27. 14.2 VPN虚拟专用网 • 14.2.1 VPN概述 • 14.2.2 远程访问VPN服务器 • ****L2TP VPN(参考) • 14.2.3 验证通信协议 • 14.2.4 远程访问策略

  28. 14.2.1 VPN概述 • 虚拟专用网(VPN)是专用网络的延伸 • 通过VPN可以通过公共网络以模拟点对点的方式在两台计算机之间发送数据

  29. VPN概述 • 利用公共网络来构建的私人专用网络 • 虚拟私有网络与传统所有网络的区别: • 对于广域网连接,传统方式是通过远程拨号和专线连接来实现的。 • VPN是利用服务提供商所提供的公共网络来实现远程的广域连接。

  30. 公司 内部网络 Intranet 适配器 Internet 适配器 Windows VPN 服务器 Internet 隧道 VPN 远程访问客户机 VPN概述 VPN数据传输协议及工作原理

  31. VPN概述 • VPN通过Internet而不是通过直接的拨号连接,来提供安全的远程访问。 实现:VPN客户机利用专用网络上的一个VPN网关,采用IP互联网来创建加密的、虚拟的、点对点的连接。用户连接到互联网,然后创建一个到VPN网关的VPN连接。 功能:降低了用户的长途电话费用,不用再建立他们自己的基础结构。出差的雇员可以拨号到当地的ISP,然后创建一个到该公司网络的VPN连接。 VPN与拨号的区别:VPN是逻辑的、非直接的连接。

  32. VPN的特点 • VPN是指在公共网络(通常为Internet中)建立一个虚拟的、专用的网络,是Internet与Intranet之间的专用通道,为企业提供一个高安全、高性能、简便易用的环境。它具有以下特点: (1)费用低廉 (2)安全性高 (3)支持最常用的网络协议 (4)有利于IP地址安全 (5)网络构架弹性大 (6)管理方便灵活 (7)完全控制主动权

  33. VPN应用场合 一般来说,VPN使用在以下两种场合: (1)远程客户端通过VPN连接到局域网 (2)两个局域网通过VPN互联

  34. VPN协议 • 在Windows Server 2003中有两种基于点对点协议PPP的VPN技术: • 点对点隧道协议 (PPTP) • 第二层隧道协议L2TP

  35. 14.2.2 远程访问VPN服务器 • VPN服务器需要有两个网络接口,如果VPN服务器是利用固定连接式的ADSL来连接Internet,则其需要有两个网卡,一个连接ATU-R(也就是ADSL调制解调器),另一个是用来连接局域网。

  36. 架设VPN服务器 三步走: • 服务器端配置 • 启用VPN服务 • VPN协议:PPTP、L2TP/IPSec • 配置VPN拨入端口 • 设置远程拨入用户 • 客户端配置

  37. 服务器端:启用远程访问服务(以PPTP为例)

  38. 验证VPN服务器

  39. 配置VPN拨入端口

  40. 配置用户拨入设置

  41. 客户端配置 • 创建VPN虚拟专用网络连接

  42. 客户端建立VPN连接 • 客户端建立VPN连接 • 设置拨号用户

  43. L2TP VPN • WindowsServer2003的L2TP/IPSec支持两种方法: 1.证书“L2TP/IPSec-使用证书”分为2大步骤:一是向CA申请IPSec证书,二是VPN客户端与VPN服务器建立L2TP/IPSec VPN 2.域共享密钥利用“预共享密钥”来验证计算机身份的L2TP/IPSec VPN,在VPN客户端与VPN服务器两端都要事先设置相同的共享密钥。使用“预共享密钥”的好处是不需要向CA申请证书,设置简单,不过它的安全性比用IPSec证书的方式差。

  44. 14.2.3 验证通信协议 • Windows Server 2003支持用来验证用户身份的验证通信协议有: (1)PAP(Password Authentication Protoco1) (2)SPAP(Shiva Password Authentication Protoco1) (3)CHAP(Challenge Handshake Authentication Protoc01) (4)MS-CHAP(Microsoft Challenge Handshake Authentication Protoco1) (5)MS-CHAP version 2 (6)EAP(Extended Authemieation Protoco1)

  45. 14.2.4 远程访问策略 • “路由和远程访问”访问使用远程访问策略来确定是接受连接尝试还是拒绝连接尝试。 • 远程访问策略是一组条件和连接设置,使网络管理员在授予远程访问权限时,更具灵活性。 • 远程访问策略存放在远程访问服务器上,而没有存放在活动目录中。 • Windows Server 2003内建有2个远程访问策略

  46. 远程访问策略的基本要素 1、条件:远程访问策略是一系列参数,例如:用户的连接时间、所属的用户组、IP地址等,这些参数与连接到服务器的客户机的参数项匹配。 2、权限: • 指远程用户的“授予远程访问权限”或“拒绝远程访问权限”的拨入权限。 • 远程访问策略中的权限与用户属性中的拨入权限协同配置。 3、配置文件:指应用到此访问连接上的一系列的限制和配置。包含如下设置值:拨入限制、IP、多链路、身份验证、加密、高级

  47. 远程访问策略的实施过程

  48. 默认的远程访问策略介绍 • 如果没有其他策略,则默认策略对所有用户生效。 • 默认策略的配置 • 条件设置为所有时间和所有日期 • 权限设置为“拒绝远程访问权限” • 配置文件设置为默认值 • 注:没有策略时,无论用户的设置如何,都无法远程访问网络

  49. 新建远程访问策略 • 在用户的拨入属性中,设置远程访问权限为“通过远程访问策略控制访问”

  50. 14.3 NAT 与基本防火墙 • 网络地址转换器NAT(Network Address Translator)位于使用专用地址的Intranet和使用公用地址的Internet之间。 • 从Intranet传出的数据包由NAT将它们的专用地址转换为公用地址。 • 从Internet传入的数据包由NAT将它们的公用地址转换为专用地址。

More Related